Боты нового поколения: какими они бывают и почему это серьезная угроза

В 2025 году интернет перешел важную границу: впервые за десятилетие большинство трафика в сети сгенерировали не люди, а боты. Тревожно, что треть этого автоматизированного трафика — действия вредоносных ботов. Это написанные хакерами скрипты, которые составляют серьезную угрозу кибербезопасности компаний. За последние несколько лет боты значительно поумнели, научились обходить защиту, а функционал выходит за пределы относительно безвредного сбора данных с сайтов. В этой статье разберем типы современных ботов и какую угрозу они несут бизнесу.

Какими боты были раньше

Первые боты были безобидными. Они появились в 1990-х и использовались для индексации интернета на заре развития первых поисковых систем (Archie, Gopher и Wandex). Но достаточно быстро, уже в 2000-х, этот полезный функционал взяли на вооружение киберпреступники.  Изначально вредоносные боты представляли собой простейшие скрипты, которые выполняли повторяющиеся действия: парсили страницы, автоматически заполняли формы и т.п. Такие данные, в частности, активно используются в конкурентных войнах в e-commerce (например, автоматизированный сбор цен или акций) или компании продают собранную с разных сайтов биг дату и аналитику по ней (вспомним судебное разбирательство «ВКонтакте» VS Double Data).

Самые простые боты, которые и сейчас активно бегают по интернету, — это скрейперы. Они не особо скрывают свою природу, работают напрямую через HTTP-запросы и легко распознаваемы по примитивным признакам вроде равномерных интервалов, отсутствия cookies и типичных User-Agent (curl или wget), которые они даже не маскируют. Еще одна особенность — последовательный обход страниц: первая, вторая, третья, без случайных переходов. 

Для защиты от скрейперов используется ограничение числа запросов с одного IP-адреса и включение CAPTCHA после превышения лимита. Такое простое решение обычно эффективно останавливает подобную активность.

Второй тип — таргетированные боты. Они уже не просто собирают информацию, а становятся частью киберразведки в начале целевой атаки на организацию, так как запрограммированы на конкретные действия. Такие боты ищут уязвимости в ПО, пытаются попасть в административные разделы сайта, обращаются к API за экспортом данных. То есть собирают все, что поможет подготовить почву для последующей целевой атаки на бизнес-процессы и сотрудников. Дальше они нередко проверяют способы обхода защиты, фиксируя реакцию сервера и выявляя его слабые места. Какие ответы приводят к ошибкам, где требуются токены, какие страницы возвращают больше полезных данных при особых параметрах и т.п. 

В отличие от обычных пользователей, такие боты не блуждают по сайту: они сразу делают прямой запрос к /admin/login или /api/users/export. Отсутствие HTTP Referer — еще один подозрительный признак. HTTP Referer содержит URL-адрес предыдущей страницы, с которой пользователь перешел на текущую. Бот же появляется из неоткуда. 

Эффективным способом защиты остаются «ловушки» — honeypot-страницы, которые выглядят как настоящие панели администратора. Любая попытка доступа к ним сразу указывает на автоматическую атаку.

Следующий этап эволюции

Постепенно скрипты стали умнеть. Появились продвинутые боты, которые научились подражать людям. Их целью остался сбор данных и обход систем защиты и эксплуатации уязвимостей, но они научились более хитро маскировать свои действия. Благодаря прокси они используют пулы IP-адресов, регулярно меняют User-Agent, делают паузы между запросами, стараясь выглядеть естественно. Но их можно разоблачить по закономерности. Настоящий человек ведет себя хаотично: может кликать раз в пару секунд, потом задуматься на полчаса и снова активно взаимодействовать. У бота паузы почти всегда одинаковые, статистически предсказуемые.  

Здесь помогает поведенческий анализ: нужно смотреть не на отдельные действия, а на общую динамику, и анализировать технические характеристики браузера и сетевые особенности соединения.

К уму добавилась массовость — DDoS-ботнеты. Этому сильно способствовало массовое развитие IoT (интернет вещей). Безопасность таких устройств обычно крайне низкая, дефолтные пароли не меняются, а обновления не устанавливаются, поэтому их взлом и подключение к ботнету — задача совсем несложная. Тут можно вспомнить легендарный ботнет Mēris, который в 2021 году стал причиной крупнейшей на тот момент DDoS-атаки в Рунете —  более чем в 20 млн RPS (Requests Per Second, количество запросов в секунду). Стандартная нагрузка на сайт составляет в среднем: 100-1000 RPS. У DDoS-ботнетов цель проста: перегрузить сервер огромным числом запросов и сделать сайт недоступным. Ботнет видно сразу — трафик растет лавинообразно (пример: 10 тыс. вместо 100 RPS), а IP-адреса поступают из ограниченного числа сетей, часто из одной страны или региона. Запросы, в свою очередь, примитивны (простой GET-запрос на главную страницу без дополнительных параметров).

Защититься помогают ограничение запросов по автономным системам и временная блокировка IP по геопозиции. 

Наконец, пятый тип поумневших ботов — это headless-боты. Вся работа выполняется в фоновом режиме через «безголовые» браузеры вроде Selenium, Puppeteer или Playwright. Такие браузеры не имеют графического интерфейса и работают без отображения визуальных элементов (окно, вкладки, панель настроек, кнопки). С помощью headless-ботов можно эмулировать действия пользователя: кликать кнопки, выполнять JavaScript, обрабатывать cookies. Для систем мониторинга это выглядит, как действия обычного пользователя и не должно вызвать подозрений.  

Такие боты активно используются, например, для скальпинга билетов (или лимитированных товаров): они массово скупают новые позиции сразу после их появления, чтобы дальше мошенники могли их перепродать по спекулятивной цене. Они также способны собирать уязвимости ПО, реализовывать атаки на API и другие, классические для разведывательных ботов действия. 

Но у headless-ботов есть технические следы. Например, свойство navigator.webdriver у таких клиентов имеет значение true, тогда как у обычных пользователей оно undefined. Кроме того, у headless-браузеров часто отсутствует уникальный отпечаток рендеринга (canvas fingerprint), нет WebGL-графики и установленных плагинов. Распознать их можно при помощи продвинутого анализа характеристик браузера — а это уже задача специализированных антибот-систем.

ИИ и адаптивность

AI-powered боты — новая волна автоматизации. Цели все те же — сбор данных и поиск слабых мест систем. Но они используют более продвинутые инструменты: языковые модели вроде ChatGPT или Claude, чтобы обходить защиту и взаимодействовать с сайтом естественно. Такие боты способны генерировать уникальные тексты, создавать правдоподобные профили, даже решать CAPTCHA. Распознать их крайне сложно, поскольку каждый ответ у них разный, но структура и смысл остаются похожими. Скорость реакции — еще один показатель, так как искусственный интеллект часто выдает себя неестественно быстрой и безошибочной печатью. 

Для детектирования AI-ботов нужно не отдельное правило, а совокупность факторов. Современные системы используют так называемый скоринг — набор эвристических проверок, каждая из которых дает определенное количество баллов. Если сумма превышает пороговое значение, активность блокируется как вредоносная.

Наконец, гибридные боты — самая опасная разновидность. Они сочетают все перечисленные подходы и динамически переключаются между ними. Если сервер ограничивает запросы, бот подключает прокси. Если включается CAPTCHA — использует ИИ. Если система анализирует браузер — бот меняет параметры окружения. Все это происходит в рамках одной сессии, что делает классические методы детектирования бесполезными, ведь бот постоянно меняет стратегию. Здесь нужна система, которая не пытается определить конкретный тип бота, а оценивает комплексно: человек перед ней или очень умный скрипт. Таким образом, боты из относительно примитивного вектора превратились в серьезную киберугрозу, для защиты от которой требуются современные и технологичные решения. 

Современные антибот-системы анализируют не отдельные действия, а всю цепочку поведения пользователя. Они могут связать множество на первый взгляд разрозненных сессий в единый паттерн атаки, отследить изменения тактики бота в реальном времени и использовать защиту от конкретной угрозы.

Ключевой принцип — многоуровневый анализ:

• использование и сбор данных об известных ботах (черные и белые списки);
• сетевой уровень (IP-адреса, геолокация, TLS handshake);
• технический уровень (характеристики браузера, fingerprint);
• поведенческий уровень (паттерны кликов, время на странице);
• контекстный уровень (логика действий, бизнес-смысл).

Только объединив все эти данные, можно эффективно противостоять современным ботам, которые постоянно эволюционируют и учатся обходить защиту.